Windows11の反響はやはり大きいようで…。
問題はTPM2.0
先日、当Blogでも記事にしたが、6月25日にMicrosoftからWindows11の発表があってから、公開されたチェックプログラムで自分のPCがWindows11に対応しているかを調べた人も多いのではないかと思う。
それで全く問題なくWindows11に対応している、という結果が出た人は良いが、多くの人が対応していない、という結果が出て、さてどうしたものか? と思案しているのではないだろうか?
Microsoft 正常性チェックプログラム
https://aka.ms/GetPCHealthCheckApp
いろいろな理由で対応していない、という結果が表示されているのだろうが、このチェックプログラムの最大の欠点は、何がダメなのかを表示してくれないという所。
せめて、何がダメなのかさえ表示してくれれば、対策の立てようもあるが、表示されないので自分で予想するしかない。
だが、おそらくそのほとんどの理由は、TPM2.0の対応において問題となっているケースが予想される。
これはTrusted Platform Moduleというセキュリティ機能の事を指すのだが、いわゆる暗号化アルゴリズムエンジン、ハッシュエンジン、鍵生成器、乱数生成器、不揮発性メモリなどを備えたモジュールの事で、暗号キーの合わなかった問合せ(アクセス)に対してデータを保護する為に利用されるものである。
最近のWindowsでは、BitLockerというセキュリティ機能でもこのTPMのような暗号キーでデータ保護をしているが、まさにそれが関係しているモジュールである。
暗号キーとデータが同じ場所に保管されていると、いくら暗号化して保護していても、暗号キーがすぐ近くにあるため、結局そのセキュリティわ破られてしまう。TPMはその暗号キーを別の場所(TPM内)で管理し、このTPMへのアクセスそのものを厳格に管理する事で、セキュリティを確保する。
以前はこのTPMは1.2だったが、現在は2.0へとアップデート、大幅に機能が強化された。
このTPMには、ハードウェアのものもあれば、ファームウェアという形で内蔵されるケースもあったりと、いろいろなパターンがある。
特にマザーボードに搭載されるTPMは、企業用などでハードウェアでTPMを用意するケースがあったりするが、最近はCPUやチップセット内のSoC内のTPM機能とファームウェアを組み合わせて利用するのが一般化しているようである。
なので、自作PCの人はマザーボードのUEFIの設定からTPM関連を探し、その設定を有効にすれば要件を満たす可能性がある。ただ、ちょっと古いマザーボードの場合はTPMの設定がそもそもない可能性もある。私のようなZ390世代などは結構微妙なのではないだろうか?
UEFI上でTPMという言葉が見つからない場合は、Intel Platform Trust Technology(Intel PTT)という言葉や、AMD fTPMという名称で探すと良いだろう。
自作PCユーザーの気をつけるべき事
このTPMが必須となるWindows11において、前述したように暗号キーでいろいろなデバイスを紐付け、いつもと違うアクセスからシステムを起動させようとすると、データを保護する機能が働き、いつもなら閲覧できるストレージの中身を見る事ができなくなったりする事は容易に想像が付く。
たとえば、自作PCユーザーの場合、新PCを組み上げた後、旧PCのストレージを取り出して新PCの中に組み込んでデータをサルベージしたりする事があるが、TPMによってこれが出来なくなる。保存されたデータにアクセスする為に暗号キーが必要だが、新PCの起動時に用意された暗号キーと、旧PCのデータストレージに付与された暗号キーが合わないのだから当たり前である。
さらに言うと、自作PCにおいてアップグレードとしてCPUを入れ替えた場合、TPMの暗号キー情報がCPU内にある関係から今までの暗号キーと異なるものになるため、CPUの入れ替えをした途端にシステムが起動しなくなる事も考えられる。
特にシステムストレージに暗号化がかかる場合は、このケースとなる場合が起きるので、予めセキュリティを解除してからCPU交換する必要がある。
だが…果たしてWindows11の環境下において、解除できるのかが疑問である。システムとして必要な要件としてTPMが設定されている以上、CPU交換する関係から解除できるなら、セキュリティに穴を簡単に開けられるという事になる。
セキュリティを考えると、自作PCユーザーは今後より難しい設定を乗り越えて行く必要に迫られるだろう。
メインPCはWindows11が登場して以降へ
今回のWindows11の発表によって、私のメインPCの更新は確実にWindows11の登場後になる事が確定した。
利用は、Windows11のシステム要件を満たすハードウェアにする必要がある為。
前述したTPM関係が当たり前となり、自作でも普通に組み上げてWindows11対応になるような状況になってから構成を考える方が楽になる。
Windows10の頃には心配する必要の無かった事だが、Windows10はサポート期限が既に切られている関係から、どうしても視野に入れるべきはWindows11になる。
実際、Windows11が公開され、実際に運用され、自作PC界でもインストールされたりして情報が出回ってきたら、トラブルも予測できるし、注意点もわかりやすくなる。人柱の為にがんばる事もできるが、おそらく私が次のメインPCを組立てる時には既にWindows11が登場してから結構な時間が経過した後だろうから、自ずと情報は集まってくるだろう。
メインPCの組立時期がずれ込んだ事で、思ってもみなかった大きな変化を乗り越える必要が出た。
ま、いずれはこうなる可能性はあった話であり、Windows11そのものもこの先どのような普及をしていくかは今の段階で見えない。特にセキュリティ強化で難しい設定が必要な状況となる、ユーザー側の対応がかなり遅れる事は間違いない。かつてのVistaの時と同じである。
なので、まずはWindows11の登場を待ち、その動向を静かに見ていくとにしよう。
何度もTMPと書いてあるのが気になる。
Trusted Platform ModuleだからTPMだよ。
言われて気づいた!
間違っている事に気づきませんでした。ご指摘ありがとうございます。
というワケで記事は修正しました。
重ね重ね、ありがとうございます。